网络准入技术与上网行为管理技术与区别浅析-.doc

. . 网络准入技术与上网行为管理技术的区别浅析 网络准入技术与上网行为管理技术的区别浅析 一、背景 1、网络准入技术发展背景 　 当前，政府、学校及企业等构建了大量内部计算机网络，以支持自身的信息化建设。由于主要业务都运行在内部网络，一旦其受到破坏，将产生严重的后果。针对各种网络安全威胁，人们开发应用了防火墙、IDS、IPS、VPN、杀毒软件等软硬件技术。虽然耗资巨大，但各种安全威胁仍然未得到有效解决。 终端作为网络的关键组成和服务对象，其安全性受到极大关注。终端准入控制技术是网络安全一个重要的研究方向，它通过身份认证和完整性检查，依据预先设定的安全策略，通过软硬件结合的方式控制终端的访问权限，能有效限制不可信、非安全终端对网络的访问，从而达到保护网络及终端安全的目的。 终端准入控制技术的研究与应用对于提高网络安全性，保障机构正常运转具有重要作用；对于机构解决信息化建设中存在的安全问题具有重要意义。目前，终端准入控制技术已经得到较大的发展和应用，在安全领域起到越来越重要的作用。 终端准入控制根据预定安全策略，对接入网络的终端进行身份认证和安全性检查，确保可信、安全的终端访问网络，拒绝或限制不安全终端的接入，体现了终端安全与准入控制的结合，可以有效提高网络对安全威胁的主动防御能力。 为了解决网络安全问题，上世纪90年代以来，国内外提出了主动防御、可信计算等概念，认为安全应该回归终端，以终端安全为核心来解决信息系统的安全问题。同时，很多安全厂家相继提出了新的安全构想 终端准入控制是目前新型的安全防御技术，可以有效地解决因不安全终端接入网络而引起的威胁，从而真正保障网络的安全。 根据相关数据，近年来，中国终端准入解决方案市场规模达到2.38亿元人民币，同比增长了31.49%，用户数量开始呈现规模化快速增长，中国终端准入解决方案的用户达到116万。 2、上网行为管理技术的发展背景 随着计算机网络的出现和互联网的飞速发展，网络信息系统给企事业单位带来了巨大的便利和机遇，但网络信息化是把双刃剑，随之而来的安全和管理问题也在困扰着用户。如何在信息化给企业单位带来效率提高、竞争力增强的同时，也能得心应手的应对复杂的网络安全和内部的员工上网管理，是摆在很多管理者面前的一道难题。 首先，互联网上各类应用带来工作的便利的同时，也为工作效率带来的挑战。在线聊天、浏览娱乐类网站、网络视频、网络游戏、在线炒股、博客、微博等无时无刻不在占用正常的工作时间。另外，互联网充斥着各种良莠不齐的信息，企事业单位员工在获取有用信息的同时，也容易被不良内容侵蚀。员工从内网访问互联网不良资源，或通过内网向互联网发布一些过激言论、反动信息等，不仅会为企事业单位形象带来负面影响，甚至如果触犯了国家的法律招致有关部门的调查，还会牵连公司面临法律风险。 其次，各企事业单位为了业务发展进行了大量的IT设备与带宽资源投资，意图提升关键业务的使用质量，提升整体办公效率。但是宝贵的带宽资源却被各类P2P应用、在线视频、娱乐网站访问等挤占，这造成了带宽资源被大量浪费。 针对以上需求，需要有效的方法实现对各种网络服务的访问控制，同时需要有效的方法实现对不同应用占用的带宽进行分类管理，对于P2P下载等无关应用进行带宽限制，对关键应用用进行带宽保障，从而提升带宽资源使用率。 二、单项介绍 1、网络准入技术介绍 网络准入控制 (NAC) 是一项可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入网络的一种新兴网络技术。准入控制能够在用户访问网络之前确保用户的身份是信任关系。 当终端接入网络时，首先由终端设备和网络接入设备（如：交换机、无线AP、VPN等）进行交互通讯。然后，网络接入设备将终端信息发给网络准入设备对接入终端和终端使用者进行检查。当终端及使用者符合网络准入设备上定义的策略后，网络准入设备会通知网络接入设备，对终端进行授权和访问控制。 网络准入控制产品及技术主要实现以下目标： 用户身份认证和上网权限管理 自动发现网络上的所有接入设备，并记录IP/Mac地址，可由管理员描述该ip/mac的使用人，可将IP/Mac绑定作为用户认证接入网络进行准入控制，防止外来电脑接入内部网络中。当用户ip/mac发生变动时，管理员能方便的对发生改变的用户ip/mac进行修改。能导入、导出ip/mac列表。 能对终端用户的上网权限进行管理，对于内网用户，除可访问本单位业务系统外禁止访问互联网。 防止文件非法外传控制 能实现对终端设备的usb口的禁止、启用控制。能实现对U盘（包括USB硬盘）的读写控制。管理员可以设置允许读的U判标识、允许写的U盘标识、对读写是否要审计。当U盘接入到终端设备时，会判断该U盘是可以被读、被写还是不可以接入到终端设备，同时控制用户对U盘